80年代末期，基于個人電腦病毒的誕生，隨即就有了清除病毒的工具──反病毒軟件。這一時期，病毒所使用的技術還比較簡單，從而檢測相對容易，最廣泛使用的就是特征碼匹配的方法。然而為了躲避殺毒軟件的查殺，病毒開始了進化，逐漸演變?yōu)樽冃蔚男问�，每感染一次，就對自身變一次形，通過對自身的變形來躲避查殺。

這樣一來，同一種病毒的變種病毒大量增加，殺毒軟件單純依靠病毒庫和特征碼技術已經不能適應如今的網絡安全。于是，便出現(xiàn)了廣譜特征碼的概念，這個技術在一段時間內，對于處理某些變形的病毒提供了一種方法，但是也使誤報率大大增加，所以采用廣譜特征碼的技術目前也不能有效的對新病毒和未知病毒進行查殺，那么，現(xiàn)如今種類繁多的殺毒軟件都有哪些新技術和新特征來適應當前的病毒威脅，又是如何實現(xiàn)的呢？

主動防御技術

由于傳統(tǒng)的基于病毒庫掃描的反病毒軟件都是很被動的，只能在新病毒出現(xiàn)之后才能有應付措施，一個病毒制造者所編寫的病毒很有可能在被殺毒軟件廠商截獲并添加到產品病毒庫之前進入用戶電腦。

此時，由于該病毒的特征碼還未添加到殺毒軟件病毒庫中，殺毒軟件會將病毒認為是正常文件而放過，使得用戶電腦被病毒所感染。因此，業(yè)界將能夠主動檢測和攔截未知威脅的防御方法稱為“主動防御”。

殺毒軟件具有滯后性，這是業(yè)界公認的一個殺毒軟件弊端，而主動防御卻很好的解決了這個問題。主動防御技術主要是針對未知病毒提出來的病毒防殺技術，在沒有病毒樣本的情況下，對病毒進行全面而有效的全面防護，阻止病毒的運作，從技術層面上有效應對未知病毒的肆虐，一是在未知病毒和未知程序方面，通過“行為判斷”技術識別大部分未被截獲的未知病毒和變種。

另一方面，通過對漏洞攻擊行為進行監(jiān)測，這樣可防止病毒利用系統(tǒng)漏洞對其它計算機進行攻擊，從而阻止病毒的爆發(fā)。

然而由于主動防御概念，各廠商技術水平不同，其效果懸殊也較大，最顯著的弊端就是常常出現(xiàn)大量的誤報或誤殺，或是將行為監(jiān)控和病毒特征碼監(jiān)測結合的方式等同于主動防御，雖然病毒運行時其行為監(jiān)控有警報提示，但就算用戶選擇“拒絕”操作也無法阻止病毒的運行。

在《c′t》雜志對全球17款主要殺毒軟件進行了測試中表明，在新病毒查殺方面，殺毒軟件的平均檢測率只有20%～30%，甚至低于去年的40%～50%。相比之下，只有ESET NOD32和BitDefender表現(xiàn)較好，查殺率分別為68%和41%。值得一提的是， ESET NOD32采用世界領先的高級啟發(fā)式ThreatSense@引擎，可同時支持基因碼，虛擬機，以及代碼分析這三種啟發(fā)式防毒技術，在查殺大部分未知病毒的同時只產生了極少的誤報，為業(yè)界最低，因此ESET NOD32的ThreatSense技術被公認為主動防御技術成熟和穩(wěn)定的集大成者。

啟發(fā)式查毒技術

說到主動防御，不得不提起啟發(fā)式查毒技術，啟發(fā)式查毒技術屬于主動防御的一種，是當前對付未知病毒的主要手段，從工作原理上可分為靜態(tài)啟發(fā)和動態(tài)啟發(fā)兩種。

啟發(fā)式指,“自我發(fā)現(xiàn)的能力”或“運用某種方式或方法去判定事物的知識和技能”， 是殺毒軟件能夠分析文件代碼的邏輯結構是否含有惡意程序特征，或者通過在一個虛擬的安全環(huán)境中前攝性的執(zhí)行代碼來判斷其是否有惡意行為。在業(yè)界前者被稱為靜態(tài)代碼分析，后者被成為動態(tài)虛擬機。

靜態(tài)啟發(fā)技術指的是在靜止狀態(tài)下通過病毒的典型指令特征識別病毒的方法，是對傳統(tǒng)特征碼掃描的一種補充。由于病毒程序與正常的應用程序在啟動時有很多區(qū)別，通常一個應用程序在最初的指令，是檢查命令行輸入有無參數(shù)項、清屏和保存原來屏幕顯示等，而病毒程序則通常是最初的指令是直接寫盤操作、解碼指令，或搜索某路徑下的可執(zhí)行程序等相關操作指令序列。

靜態(tài)啟發(fā)式就是通過簡單的反編譯，在不運行病毒程序的情況下，核對病毒頭靜態(tài)指令從而確定病毒的一種技術。

而相比靜態(tài)啟發(fā)技術，動態(tài)啟發(fā)技術要復雜和先進很多。動態(tài)啟發(fā)式通過殺軟內置的虛擬機技術，給病毒構建一個仿真的運行環(huán)境，誘使病毒在殺軟的模擬緩沖區(qū)中運行，如運行過程中檢測到可疑的動作，則判定為危險程序并進行攔截。這種方法更有助于識別未知病毒，對加殼病毒依然有效，但如果控制得不好，會出現(xiàn)較多誤報的情況。

動態(tài)啟發(fā)因為考慮資源占用的問題，因此目前只能使用比較保守的虛擬機技術。盡管如此，由于動態(tài)啟發(fā)式判斷技術具有許多不可替代的優(yōu)勢，因此仍然是目前檢測未知病毒最有效、最可靠的方法之一，并在各大殺軟產品中得到了廣泛的應用。

由于諸多傳統(tǒng)技術無法企及的強大優(yōu)勢，必將得到普遍的應用和迅速的發(fā)展。純粹的啟發(fā)式代碼分析技術的應用(不借助任何事先的對于被測目標病毒樣本的研究和了解)，已能達到80%以上的病毒檢出率，而其誤報率極易控制在0.1%之下，這對于僅僅使用傳統(tǒng)的基于對已知病毒的研究而抽取“特征字串”的特征掃描技術的查毒軟件來說，是不可想象的，啟發(fā)式殺毒技術代表著未來反病毒技術發(fā)展的必然趨勢，具備某種人工智能特點的反毒技術，向我們展示了一種通用的、不依賴于升級的病毒檢測技術和產品的可能性。

作為啟發(fā)式殺毒軟件的代表產品ESET NOD32，以其完善的啟發(fā)式引擎ThreatSense，超過68%的未知病毒檢測率以及低于0.1%的誤報率聞名遐邇。成為業(yè)界的最高水準，同時也被冠以“啟發(fā)之王”的美譽。

標簽： 安全 代碼 漏洞 搜索 網絡 網絡安全 問題 選擇 用戶

版權申明：本站文章部分自網絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。